Router 3745 與 asa 建ipsec問題

torohuang

請問版內所有的高手大大們
小弟想做一個LAB是Router與ASA建立IPSEC
因為我用Router對Router建立是正常
然後用ASA對ASA建立也是正常沒問題
但Router對ASA時就是會失敗
Router上總是會跳以下錯誤
*Mar  1 03:37:49.775: ISAKMP:(0):Notify has no hash. Rejected.
*Mar  1 03:37:49.779: ISAKMP (0:0): Unknown Input IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY:  state = IKE_I_MM1
R1#
*Mar  1 03:37:49.779: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Informational mode failed with peer at 10.2.1.2

而asa總是會跳以下錯誤

3

Jul 30 2013

07:03:50

713048

IP = 10.1.1.2, Error processing payload: Payload ID: 1

但我確定我兩邊選的加密協定都一致了，但還是不知問題在那裡
是否能有大大幫忙解決一下？提供LAB架構圖及R1和ASA的CONFIG

task

看debug信息应该是第一阶段参数不匹配。
IKE Phase 1的group，你配置里Router是默认的。ASA是手动指定为group 2。
Router 3745：
crypto isakmp policy 10
hash md5
authentication pre-share

ASA：
crypto isakmp policy 10
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400

默认情况下，3640的IKE P1 Group是1（3745应该也是），所以有可能是两边IKE P1 group不匹配导致协商失败。你可以尝试将3745的group改为2后再测试一下。

改法：
Router 3745:
crypto isakmp policy 10
hash md5
authentication pre-share
group 2

另外，ASA的这句不需要：
crypto map outside_map 1 set pfs group1

附：
3640默认IKE P1策略：
R1#show crypto isakmp policy
Global IKE policy
Default protection suite
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Rivest-Shamir-Adleman Signature
        Diffie-Hellman group:   #1 (768 bit)
        lifetime:               86400 seconds, no volume limit

第二阶段Router的transform-set也没配置hash算法。把它补上，和ASA一样都是esp-sha-hmac。
crypto ipsec transform-set asa esp-3des esp-sha-hmac

Jeff.

支持楼上的。
哈哈

torohuang

感謝一樓的大大~~原來是這樣~~我以為預設它們會自動去比對~~
重新再試一次已紿OK了~~
感謝~~

victor_huang

第一阶段~~有高人指出~